Personuppgiftsincidenter

För att kunna leva upp till de nya skyldigheterna enligt dataskyddsförordningen (GDPR) är det viktigt att alla som behandlar personuppgifter har rutiner på plats för att kunna hantera personuppgiftsincidenter.

Det är inte alldeles enkelt att ge råd när det gäller att bedöma vad som är en personuppgiftsincident och när ni som är personuppgiftsansvariga ska anmäla till Datainspektionen. Därför hjälper vi personuppgiftsansvariga och personuppgiftsbiträden med att utreda, rapportera och dokumentera personuppgiftsincidenter.

Vad är en personuppgiftsincident?

En personuppgiftsincident inträffar när de uppgifter som en verksamhet ansvarar för drabbas av en säkerhetsincident som leder till ett brott mot konfidentialiteten, tillgängligheten eller integriteten.

Enligt dataskyddsförordningen är en personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

En personuppgiftsincident kan få allvarliga konsekvenser för registrerade personer. De kan råka ut för till exempel ekonomisk skada eller kränkning av sina friheter och rättigheter.

En personuppgiftsincident som inte hanteras på ett lämpligt sätt kan också påverka tilltron till den verksamhet som behandlar personuppgifter. Det kan dessutom leda till sanktionsavgifter.

Vilka personuppgiftsincidenter måste anmälas?

Om det är sannolikt att incidenten utgör en risk för en enskild persons rättigheter och friheter, måste din verksamhet anmäla incidenten till Datainspektionen utan onödigt dröjsmål och senast inom 72 timmar efter att verksamheten har fått kännedom om den.

Anmälan gör det möjligt för Datainspektionen att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter. Om det blir nödvändigt kan Datainspektionen också utöva tillsynsbefogenheter för att få personuppgiftsansvariga att vidta nödvändiga åtgärder.

Om din verksamhet är ett personuppgiftsbiträde måste varje personuppgiftsincident anmälas till den personuppgiftsansvarige. Detta för att den personuppgiftsansvarige ska kunna uppfylla sina skyldigheter i dataskyddsförordningen.

När måste jag informera de registrerade?

Om personuppgiftsincidenten medför en hög risk för de berörda enskilda personerna, ska även dessa personer informeras. Detta gäller inte om din verksamhet implementerat lämpliga tekniska och organisatoriska säkerhetsåtgärder, eller andra åtgärder som säkerställer att det inte längre är troligt att risken förverkligas.

Vad gäller vid gränsöverskridande personuppgiftsincidenter?

Det är viktigt att alla personuppgiftsincidenter anmäls till ansvariga tillsynsmyndigheter, även om en personuppgiftsincident har anknytning till flera medlemsstater. Din verksamhet kan alltså ha olika ansvariga tillsynsmyndigheter för olika personuppgiftsbehandlingar om verksamheten fastställer ändamål och medel för olika personuppgiftsbehandlingar på olika platser inom EU.

Innan ni påbörjar en ny personuppgiftsbehandling är det därför viktigt att ni avgör vilken tillsynsmyndighet som kommer att bli din verksamhets ansvariga tillsynsmyndighet, så att du vet till vilken tillsynsmyndighet du ska vända dig till om en incident skulle inträffa.

Hur kan vi hjälpa dig?

Vi hjälper dig med att utreda, rapportera och dokumentera alla former av personuppgiftsincidenter som kan inträffa hos personuppgiftsansvariga, personuppgiftsbiträden och vid gränsöverskridande personuppgiftsbehandling.

Du är välkommen att höra av dig till oss för råd om vad du behöver göra för att säkerställa efterlevnaden av dataskyddsförordningen.

Vanliga frågor

Vi hjälper dig med att utreda, rapportera och dokumentera alla former av personuppgiftsincidenter som kan inträffa hos personuppgiftsansvariga, personuppgiftsbiträden och vid gränsöverskridande personuppgiftsbehandling.

Vi eftersträvar att alltid vara flexibla och lyhörda för dina önskemål. Vår rådgivning kan ske på plats hos dig via e-post, telefon eller videokonferens. Vi prioriterar tillgänglighet och ser till att eventuella frågor besvaras så fort som möjligt. Vi har en öppen dialog och uppföljning med dig rörande de kostnader som är förenade med uppdragets utförande och vi erbjuder ett stort engagemang genom att omsorgsfullt, noggrant och skyndsamt utföra varje uppdrag som vi har åtagit oss.

Vi strävar efter att tillhandahålla tjänster till attraktiva arvoden och vi är alltid villiga att diskutera dessa med dig. På begäran kommer vi att i början av ett uppdrag förse dig med en uppskattning av vårt arvode och, beroende på uppdragets natur, kan vi också avtala om en budget eller annat arvodesarrangemang. Om vi inte avtalar annat fastställs våra arvoden på basis av ett antal faktorer såsom nedlagd tid, den skicklighet och erfarenhet som uppdraget krävt, de värden som uppdraget rör, eventuella risker för oss, tidspress och uppnått resultat.

Våra kunder är verksamma inom alla typer av branscher och bland dessa återfinns svenska och internationella företag, kommuner och offentlig verksamhet, banker, försäkringsbolag, bostadsbolag, elbolag, operatörer och konsultbolag.